Tag Archives: securite de données

Les puces des objets connectés, ces outils d’espionnage

Les puces électroniques sont des éléments qui composent la plupart des objets connectés. Cependant, ces dernières sont susceptibles de comporter des défauts et de récupérer des données à l’insu de l’utilisateur. La question qui se pose alors est de savoir comment faire pour détecter ce problème et pour le détourner. Les puces informatiques sont utilisées sur de nombreux appareils et peuvent être à l’origine d’une fuite des informations personnelles, voire confidentielles d’une personne.

Les puces et la divulgation des données personnelles

Des recherches ont récemment rapporté que les puces placées dans les objets connectés transmettaient involontairement des renseignements sur les différentes techniques de sécurisation des données qu’elles utilisaient. Surtout si la connexion se faisait via Bluetooth ou Wi-Fi. De ce fait, il est facile pour un hacker de récupérer ces données et de les lire. Cette offensive est plus connue sous le nom de « Screaming Channels ».

Il s’agit entre autres d’un défaut de fonctionnement qui est dû au mode de conception de certaines puces. Pourtant, cette erreur peut s’étendre à tous les objets si aucune mesure n’est adoptée. D’autant plus que les utilisateurs ont souvent du mal à distinguer un objet contenant une puce défectueuse, surtout si aucun test n’a vraiment été effectué au préalable.

Les inconvénients du processeur

Les puces mixtes seraient à l’origine du problème et cela se produisait souvent lorsque l’usager se connectait à un réseau. En cause, le mode d’agencement à partir duquel elles ont été conçues. Si d’un coté, les données seront manipulées par un processeur, celui-là même qui sera en charge des opérations cryptographiques pour assurer la sécurité des données en question, de l’autre, il y a le composant radio qui se trouve à quelques millimètres et qui diffuse les informations susmentionnées. Ainsi, lorsque l’usager procède à la manipulation de ses données, des rayonnements électromagnétiques sont émis, ce qui pourrait nuire au bon fonctionnement du premier composant. Les hackers pourraient ainsi profiter de cette gêne pour recueillir des données confidentielles. Pour tout dire, le processeur a une action similaire à celle d’un voisin indiscret, car il donne des informations sur les activités de l’utilisateur qui peut être en train de déjeuner ou d’organiser une réception amicale. Si les murs sont fins, il sera même possible de déterminer le nombre de convives.

Il s’agit ici d’une attaque par canaux auxiliaires et qui concerne certains objets à l’instar des cartes à puce.

Quelques solutions face au problème

Pour qu’une attaque Screaming Channels fonctionne, il a fallu que les chercheurs installent une antenne dans une salle spécialement conçue. D’un autre côté, cette attaque a besoin d’un accès physique. Toutefois, les spécialistes en question ont quand même réussi à émettre sur une distance de 10 m. Ils ont également affirmé que cette dernière pouvait encore être poussée plus loin si besoin est.

Il est cependant important de régler ce problème. En ce sens, une mise à jour du logiciel de chiffrement peut être envisageable, mais cela pourrait entraîner un ralentissement du fonctionnement des puces. Une autre solution plus efficiente consisterait à l’extinction du composant radio au moment où le composant électrique manipulerait les données, mais cela pourrait l’affaiblir et le rendre moins performant.

Google dévoile une liste d’idées pour mieux protéger vos données

Google vient de dévoiler une liste d’idées pour améliorer les lois et régulations américaines de protection des données personnelles. La firme américaine semble s’être fortement inspirée du RGPD européen.

Le jeudi 27 septembre 2018, Google se livrera à une audition devant le Sénat américain. Le géant du web devra notamment répondre à des questions au sujet de sa politique de protection de la confidentialité des utilisateurs de ses services.

En amont de cette audition, Google vient de publier un ” framework “ à travers lequel elle dévoile une liste d’idées pour améliorer la régulation de la protection des données personnelles. Elle encourage les régulateurs et les législateurs à s’inspirer de ces recommandations pour améliorer la loi.

Le document commence avec une liste d’obligations auxquelles les entreprises devraient se tenir : collecter et utiliser les données personnelles de façon responsable, fixer des limites raisonnables, faire preuve d’une transparence totale, maintenir la qualité des informations personnelles, permettre aux individus de contrôler l’usage de leurs données personnelles et d’exiger leur suppression.

En outre, Google invite les régulateurs à mettre en place un principe de responsabilité des entreprises pour la mise en conformité aux lois en vigueur. Un concept que l’on retrouve en Europe depuis l’entrée en vigueur du RGPD.

La firme invite aussi les régulateurs à focaliser leurs efforts sur les pratiques qui représentent un risque pour les individus et les communautés, et à distinguer les services destinés aux consommateurs des services d’entreprise. Toujours selon Google, les régulations doivent encourager l’interopérabilité globale, s’adapter aux évolutions technologiques, et s’appliquer à toutes les organisations qui traient des données personnelles.

Ce document semble être une manière pour Google de ” montrer patte blanche “ en se rangeant du côté des régulateurs avant l’audition devant le Sénat du jeudi 27 septembre 2018. En parallèle, la firme vient aussi d’admettre avoir commis des ” erreurs ” quant à la protection des données personnelles et compte le reconnaître de nouveau devant le Sénat.

L’entreprise américaine affirme toutefois avoir appris de ces erreurs, et s’en être servi pour renforcer et améliorer sa politique de confidentialité. Pour rappel, Google est actuellement au coeur d’une controverse à cause de l’ouverture des données Gmail aux développeurs tiers. De même, en août 2018, il a été révélé que les services Google continuent à tracer la position géographique des utilisateurs même lorsque le tracking est désactivé.